我们应当从最近四次安全事故中吸取哪些经验教训
美国人事管理办公室(简称OPM)主任Katherine Archuleta在用揉眼的方式舒缓压力——这是她在数据违反监管与政府改革委员会进行的OPM计算机数据泄露听证会上作证时的状况,时间为2015年6月16日,地点在华盛顿国会山。
媒体与公众终于开始意识到一个残酷的现实,任何组织机构都处于遭受恶意攻击的风险当中。通过对最近几次高曝光率安全事故的分析,我们希望帮助大家成功防止自己所在的企业遭遇到同样的打击。
对于IT安全管理者而言,抢在攻击者之前解决潜在风险绝非易事。恶意人士可资利用的伎俩、花招以及邪恶技术可谓层出不穷,看起来企业根本不可能成功应对一切安全威胁。网络犯罪活动明显处于上升趋势,而CIO们则因此而背负着沉重的压力。
最近高调曝光的四起网络犯罪活动值得我们给予关注,其中包括侵入网络、窃取数据以及利用社交工程手段欺骗企业员工。我们就这些状况向多位安全专家征求了意见,例如此类事故是如何发生的、CIO们又该怎样降低出现类似事故的可能性。提示:单纯安装新型防火墙并严格要求员工使用杀毒软件还远远不够。
1. OPM数据泄露事故
此次数据泄露之所以令人不安,是因为其内容涉及美国人力管理办公室(简称OPM)针对联邦政府员工作出的安全检查与背景信息统计。根据最新调查结果,共有2150万名政府雇员的个人记录被恶意人士所窃取。相关报告已经证明,此次数据泄露的主要原因是由于OPM方面缺乏最基本的安全基础设施部署举措。根据数据安全专家Alan Kessler的分析以及事故公开听证会上得出的结论,某位前分包商在背景调查过程中窃取了这些数据。
数据安全企业Vormetric公司CEO Kessler表示,OPM长久以来一直依赖于传统系统,而且没能及时在安全基础设施方面进行投资。根据IBM公司安全事务副总裁Caleb Barlow的说法,CIO们应当从中学习到重要的经验教训,即避免在安全领域一味追求新兴技术。某些CIO热衷于采纳创新成功或者最新技术方案,但却忽视了安全保障工作的基本要素。“最为基本的安全需求,例如补丁安装、监控使用者访问权限、识别风险以及明确组织关键性数据的存储位置等,应当拥有最高的实施优先级,”他指出。
企业级文件共享厂商Accellion公司CEO Yorgen Edholm则表示,OPM数据泄露事故给CIO们敲响了警钟,这意味着攻击者们所垂涎的绝不仅仅是银行中的信用卡号码或者其它财务信息。数据窃取活动已经开始将矛头指向社保号码、医疗记录甚至是保存在数据库当中的指纹信息。CIO们需要找到更多能够对全部系统加以保护的方案,而不能继续依赖于只以财务数据为保护对象的传统机制。
2.圣路易红雀队向休士顿太空人队发起攻击
在这一刚刚发生的安全事故当中,某位雇员(或者多位雇员)窃取到了来自对手球队的球员评估及个人状态等敏感数据。其实这类某个组织机构着手攻击其它同业机构(与相对模糊的境外网络犯罪活动不同)的行为并不罕见。此次事故让CIO们意识到,攻击很有可能发生在自家萧墙之内。
目前效力于VMware公司的知名创业者Matt Suiche指出,企业应当尽可能提高数据保护力度,以避免其受到员工、分包商乃至第三方合作伙伴的窥探。他同时表示,当下的攻击活动可谓全方位来袭,因此单纯利用防火墙或者杀毒软件来抵御外部渗透已经远远不够。最好的办法是实施一套多因素安全方案,从而全面阻止网络犯罪活动的发生。
“企业经常会任用来自竞争对手公司的员工,而这部分员工又往往习惯在新旧两家公司内使用同样的密码内容——这很可能造成潜在安全风险,”安全厂商KnowBe4公司CEO Stu Sjouwerman指出。“密码管理与创建高强度密码已经成为当下的必要要求,但我们还应当部署其它更为强大的验证机制,例如双因素验证以及/或者指纹及面部识别等生物验证技术。”
“有时候,最大的安全风险并非由间谍机构、集团犯罪组织或者高水平黑客所造成,而完全出自前任员工乃至竞争对手,”Accellion公司的Edholm强调称。他同时表示,企业应当保护系统免受流氓员工的侵扰,具体包括使用惟一且高复杂度密码来管理员工访问,持有并追踪全部密钥,同时以培训方式帮助员工掌握并践行最佳实践。
3.借简历附件进行网络钓鱼
这种堪称巧妙的攻击手段可以融入许多变化,但其本质方式就是向某位雇员发送包含恶意内容的简历压缩文件。员工在开启该文件的同时,被触发的恶意应用即会对当前设备的硬盘乃至各共享式网络驱动器进行加密。黑客随后会要求受害者支付数额不等的款项以移除恶意软件并恢复各磁盘驱动器。就在不久之前,有攻击者锁定了新闻发布稿当中的财务信息……而后借此进行敲诈勒索。
此类案例当中最令人发指的就是去年澳大利亚某媒体新闻频道遭黑客利用Cryptolocker入侵,对方要求媒体方面支付赎金以解锁数据。在大多数情况下,支付的资金必须以无法追踪的比特币作为载体。
KnowBe4公司的Sjouwerman表示,这类欺诈活动的可怕之处在于其成功率相当高。在该公司组织的测试当中,某家银行约有六成左右员工打开了邮件当中发来的简历附件。他强调称,目前大部分攻击活动都会使用虚构的女性求职者姓名。
IBM公司的Barlow指出,应对钓鱼攻击的终极手段就是帮助员工培养起良好的安全意识。新型攻击方式总在不断出现,而安全培训应该将钓鱼测试纳入其中,帮助员工在高危情况下作出正确选择(例如不要点击可疑链接或者不要回复任何内容)。如果员工未能通过测试,那么相关企业需要组织有针对性的指导流程。
4. CEO转账欺诈活动
这最后一种安全隐患确实极具破坏性,因为它针对的是大型企业中的高管团队。这类恶意活动基本可划归为社交工程:犯罪分子首先取得高管成员的电子邮箱访问权限,例如通过暴力破解方式获取密码或者运行密码生成器。他们会利用高管的账户要求财会部门进行资金转移。之所以成功率极高,是因为财会部门会下意识地认为来自高层管理者的邮件不存在问题。
KnowBe4公司的Sjouwerman指出,国际杂志出版商Bonnier Group就曾经遭遇过此类攻击活动,而且转账金额至少达到150万美元。攻击者利用前任CEO David Freygang的电子邮箱发出了一条紧急且需要保密的资金转移要求。而就在最近,知名一夜情网站Ashley Madison也遇到了同类攻击,但有所区别的是这次其要求获取客户的详细个人信息。
根据IBM公司发布的《2015年第二季度X-Force威胁情报调查》,目前约有25%的网络攻击活动针对某一特定员工。这相当于直接绕过了各类传统安全保障措施,例如加密机制、防火墙以及反恶意软件。在IBM公司的Barlow看来,这甚至不能算是什么技术性攻击,因为黑客需要做的可能仅仅是猜出企业中某位高管的账户密码。
他强调称,解决此类问题的最佳办法就是进行协作。钓鱼攻击应当经过分类、归档与讨论——类似于黑客们在Dark Web上商议计划并分享信息的过程。“‘好人们’也需要同样的协作平台,并以此建立统一战线共同抵御入侵,”他建议道。
原文标题:What can be learned about security threats from 4 recent hacks